Desarrollado por Nightmare-Eclipse, el mismo investigador responsable de BlueHammer, RedSun es un exploit de día cero sin parche para la escalada de privilegios a nivel local. Aprovecha la lógica de corrección de Microsoft Defender mediante oplocks y junctions, lo que le permite obtener privilegios de sistema al colocar binarios maliciosos en directorios protegidos.
El 3 de abril de 2026, un investigador de seguridad que opera bajo el seudónimo «Chaotic Eclipse» publicó en GitHub un exploit totalmente funcional para la escalada de privilegios locales en Windows. No se llevó a cabo ninguna divulgación coordinada, ni se proporcionó ningún CVE ni ningún parche. El exploit es una vulnerabilidad de día cero de escalada de privilegios que permite a los atacantes leer la base de datos SAM y generar un shell con privilegios de nivel SYSTEM.
En la arquitectura de seguridad moderna de Windows, el Control de cuentas de usuario (UAC) sirve como una capa defensiva clave contra la escalada de privilegios no autorizada. Su objetivo principal es limitar el impacto de la ejecución de código malicioso al exigir el consentimiento del usuario antes de permitir acciones administrativas. Entre las numerosas técnicas de elusión del UAC documentadas a lo largo de los años, uno de los métodos más destacados es el que utiliza la interfaz COM ICMLuaUtil. Este método volvió a llamar la atención cuando se observó en campañas atribuidas al grupo Silver Fox Advanced Persistent Threat (APT), un actor conocido por sus sofisticadas técnicas y su enfoque en la persistencia con una detección mínima.
En el ámbito de la ciberseguridad, una gestión sólida de los parches es esencial para fortalecer las redes empresariales frente a las amenazas en constante evolución, especialmente en entornos dominados por Active Directory, donde los sistemas sin parches sirven como puntos de entrada principales para los atacantes. Windows Server Update Services (WSUS), una función básica del servidor de Microsoft, es un ejemplo de ello, ya que permite la implementación centralizada de actualizaciones, pero su reciente exposición a través de CVE-2025-59287 pone de relieve la fragilidad de la infraestructura de actualizaciones.